2019-12-14 01:15 (토)
물리면 끝장 APT공격…기간망 사이버테러로 사용
상태바
물리면 끝장 APT공격…기간망 사이버테러로 사용
  • 길민권
  • 승인 2011.06.26 01:17
이 기사를 공유합니다

타깃 정해지면 모든 기술 동원해 뚫릴 때까지 공격
사회 마비시키는 사이버테러로 이용…한국 대비해야 한다
금융권에 대한 악성 해커들의 공격이 계속되고 있다. 국내 문제에 국한된 것이 아니라 해외에서도 금융기관에 대한 크래커들이 공격이 줄을 잇고 있고 그에 따른 피해가 증가하고 있어 철저한 대비가 필요하다. 최근 금융권을 타깃으로 어떤 신규 공격들이 발생하고 있고 대응책은 무엇일까. (사진출처. www.flickr.com / @ Robert Brandso)
 
이성욱 금융보안연구원 팀장은 “신규 공격 형태는 APT(Advanced Persistent Threat), 진화되고 지속적인 위협으로 정의할 수 있다. APT는 특정 타깃이 정해지면 IT 인프라와 관련된 모든 기술을 다양하게 사용하고 목적이 달성될 때가지 끊임없이 지속적으로 집요하게 공격을 시도한다. 여기에 악성코드, 취약점 등 IT기술뿐만 아니라 사람을 대상으로 한 사회공학적 기법까지 활용해 타깃을 결국에 뚫고 만다”고 밝혔다.
 
APT의 목표는 정부기관내 기밀 문서 탈취, 군가 기밀 문서 탈취, 사회 기간 산업 시설에 대한 사이버 테러리즘 활동, 정보 통신 기업과 제조 기업에 대한 지적 자산 탈취, 기업 영업 비밀 탈취, 금융기업에 대한 금융시스템의 작동을 마비시키고 기업 금융 자산 정보를 탈취하는 것이 목표다. 한국도 이에 대한 철저한 대응책을 마련하지 못하고 있다. 사례를 보자.   
 
오퍼레이션 오로라(Operation Aurora) 악성코드=2010년 1월 구글, 어도비, 주니퍼, 야후, 시만텍 등 20여 개 이상 기업을 대상으로 중국발 공격이 가해졌다. 인터넷 익스플로러의 메모리 참조 오류로 발생하는 제로데이 취약점이었던 MS10-002를 집요하게 이용했다. 형식은 이메일에 악성코드가 포함된 웹 페이지 링크를 전송해 해당 웹페이지를 접속하면 악성코드가 감염되도록 했다.
 
또 백신 프로그램을 우회해 특별히 제작된 원격 제어형태의 악성코드를 이용하고 감염 시 대만에 위치한 C&C 서버에 SSL을 통한 백도어를 접속, 내부 정보 유출을 위해 내부망에 존재하는 취약한 시스템을 탐색해 공격하는 형태다.
 
◇스턱스넷(Stuxnet) 웜=2010년 7월, 국가 및 산업의 중요 기반 시설을 제어하는 SCADA(Supervisory Control And Data Acqusition) 시스템을 대상으로 한 웜이다. 공격 목표는 지멘스사의 SIMANTIC PSC7 프로세스 통제 시스템의 컴포넌트 중 WinCC(시스템 운영자 통제 및 모니터링 시스템)와 Step7(개발 환경)이 타깃이었다.
 
스턱스넷은 전파를 위해 윈도우 서버 서비스 취약점인 MS08-067를 이용해 공유폴더를 공격했으며 윈도우 쉘 LNK 취약점인 MS10-046를 이용해 USB를, 윈도우 프린트 스플러 서비스 취약점인 MS10-061로 공유 프린터를 전파 개체로 활용했다. 또 지멘스 SIMATIC WinCC 기본 패스워드 취약점인 CVE-2010-2772를 활용해 WinCC 감염을 시도했고 안전하지 않은 라이브러리 로딩으로 인한 원격 코드 실행 취약점을 이용해 Step7 프로젝트 파일을 감염시켰다.
 
관리자 권한을 획득하기 위해서는 윈도우 Win32K 키보드 레이아웃 취약점 MS10-073을 활용했으며 작업 스케줄러의 취약점으로 인한 권한 상승 문제점 MS 10-092를 이용했다. 디바이스 드라이버 설치를 위해서 Realtek과 Jmicron사에서 훔친 디지털 인증서를 이용하기도 했다.
 
이성욱 금보원 팀장은 “핵발전소, 스마트그리드 등 스카다(SCADA) 망에 대한 공격이 현실화되고 있기 때문에 설계시부터 운영 전체 단계에 대한 보안성 검토가 필요하다. 보다 지능화되고 향상된 악성코드에 대비한 IT와 산업제어 솔루션간 융합보안 및 다계층 보안 체계 구축이 필요하다”고 강조했다. 더불어 “SCADA, PCS 시스템 관련 사용자에 대한 보안인식 교육과 산업제어 시스템을 전사 보안정책, 절차, 프로세스에 포함시켜 보안성 확보에 노력해야 한다”고 말했다.
 
나이트 드래곤(Night Dragon) 악성파일=2009년 11월 무렵부터 최소 1년 넘게 조직적으로 카자흐스탄, 그리스, 대만과 미국에 있는 글로벌 오일, 가스 및 석유 화학 제품 업체들을 타깃으로 공격이 이루어졌다. 최초 맥아피에 의해 발견됐다.
 
이 공격을 통해 정유 및 가스 입찰 관련 자료와 유전 탐사 정보, 스카다 시스템 설정 정보 등이 수 GB 유출된 바 있다. 또 SQL인젝션 및 피싱 메일을 통해 악성코드에 감염된 PC에서 내부 접속 정보를 갈취하고 원격 관리자 도구를 이용해 기밀 데이터 유출도 이루어졌다.     
 
◇APT 공격에 대해 어떻게 대비해야 하나=공개 DNS 서버는 디도스 공격이나 봇넷 운영, cache poisoning 공격에 사용될 수 있기 때문에 DNS 서버의 용도에 따른 분리가 필요하고 외부와의 통신 뿐만 아니라 내부와의 통신 역시 도청당 할 수 있기 때문에 철저한 암호화가 필요하다. 이를 위해 NAC, L2/L3 스위치가 필요하다.
 
IP스푸핑은 디도스 공격이나 하이재킹에 사용될 수 있기 때문에 내부에서 나가는 패킷의 소스 IP가 내부 IP가 아닌 경우 패킷을 필터링 해야 한다. 또 내부망에서 외부망 통신에 대한 애플리케이션 레벨에 대한 고려도 필요하다. 한편 보안프로그램이 있어도 해킹을 당할 수 있다는 인식 때문에 기본적인 보안SW를 설치하지 않는 경우도 있는데 이는 더욱 위험도를 높이는 결과를 초례하게 된다.
 
시큐어 코딩에 대한 투자와 웹 호스팅 환경에 대한 안전한 설정도 중요한 부분이다. 충분하지 않은 개발기간과 개발자의 보안인식 부재로 너무 많은 취약점이 발생하기 때문이다. 또 유사 악성 도메인을 이용한 피싱공격 등 많은 문제가 발생하는데 이를 막기 위해서 유사 도메인 필터링과 도메인 등록시 인증절차를 강화해야 한다.
 
페이스북, 트위터 등 SNS에 무의식적으로 자신의 개인정보나 기업의 내부 정보를 유포할 수 있기 때문에 이에 대한 교육도 필수적이다.
 
이성욱 팀장은 “보안 장비들만으로는 APT를 막을 수 없다. 이미 패치된 취약점도 공격에 사용되기 때문에 항상 최신 보안업데이트를 해야 하고 시스템 사용자에 대한 명문화된 보안 지침이 있어야 한다. 또 APT 공격의 경우 아웃바운드 트래픽이 더욱 중요하기 때문에 아웃바운드 트래픽에 대한 고려가 필수적”이라고 말했다.
 
APT 공격을 막기 위해서는 APS(Advanced Persistent Security), 진화된 기법을 사용해 지속적으로 보안을 해야 한다는 것이다. [데일리시큐=길민권 기자]